Norma
08/11/2022
#173865

PORTARIA ANPD Nº 35, DE 4 DE NOVEMBRO DE 2022

Torna pública a Agenda Regulatória da ANPD para o biênio 2023-2024 com prioridades e fases de iniciativas regulatórias.

PORTARIA ANPD Nº 35, DE 4 DE NOVEMBRO DE 2022

Torna pública a Agenda Regulatória para o biênio 2023-2024.

O DIRETOR-PRESIDENTE DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, no exercício das atribuições que lhe confere o art. 3º, §2º, do Decreto nº 10.474, de 2020,

O DIRETOR-PRESIDENTE DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

CONSIDERANDO que a Agenda Regulatória é um instrumento de planejamento que agrega as ações regulatórias consideradas prioritárias e que serão objeto de estudo ou tratamento pela Autoridade durante sua vigência;

CONSIDERANDO a deliberação tomada pelo Conselho-Diretor no Circuito Deliberativo nº 10/2022; e

CONSIDERANDO o constante dos autos do processo nº 00261.001286/2022- 93, resolve:

Art. 1º Tornar pública a Agenda Regulatória da Autoridade Nacional de Proteção de Dados - ANPD para o biênio 2023-2024, na forma do Anexo a esta Portaria.

Art. 2º As iniciativas da Agenda Regulatória para o biênio 2023-2024 são classificadas em fases, por ordem de priorização:

I - Fase 1 - itens cujo processo regulatório foi iniciado durante a vigência da Agenda Regulatória para o biênio 2021-2022, aprovada pela Portaria nº 11, de 27 de janeiro de 2021;

II - Fase 2 - itens cujo início do processo regulatório acontecerá em até 1 ano;

III - Fase 3 - itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses;

IV - Fase 4 - itens cujo início do processo regulatório acontecerá em até 2 anos.

Parágrafo Único: As iniciativas a que se refere o inciso I do caput deste artigo terão prevalência sobre os demais itens constantes da Agenda Regulatória.

Art. 3º A ANPD deverá considerar como prioritários os temas constantes da Agenda Regulatória para o biênio 2023-2024 quando do planejamento e da execução de ações educativas.

Art. 4º Esta Portaria entra em vigor na data de sua publicação.

ANEXO I

AGENDA REGULATÓRIA - 2023-2024

Item

Iniciativa

Descrição

Priorização

1

Regulamento de Dosimetria e Aplicação de Sanções Administrativas

A LGPD determina que a ANPD definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na lei.

Fase 1

2

Direitos dos titulares de dados pessoais

A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23.

Fase 1

3

Comunicação de incidentes e especificação do prazo de notificação

De acordo com o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações.

Fase 1

4

Transferência Internacional de Dados Pessoais

O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto.

Fase 1

5

Relatório de Impacto à Proteção de Dados Pessoais

De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.

Fase 1

6

Encarregado de proteção de dados pessoais

Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Fase 1

7

Hipóteses legais de tratamento de dados pessoais

Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele.

Fase 1

8

Definição de alto risco e larga escala

Obrigação legal disposta no § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, dispôs sobre os critérios para definição do tratamento de alto risco ao titular de dados.

Fase 1

9

Dados Pessoais Sensíveis - Organizações religiosas

Documento com finalidade de disseminar as medidas básicas para adequação ao disposto na LGPD pelas organizações religiosas.

Fase 1

10

Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa

Documento com finalidade de fornecer aos agentes de tratamento recomendações e orientações que possam incentivar a adoção de boas práticas e respaldar o tratamento de dados pessoais realizado para fins acadêmicos e de estudos e pesquisas de forma compatível com a LGPD.

Fase 1

11

Anonimização e pseudonimização

Documento com objetivo de orientar e esclarecer a utilização das técnicas de anonimização e de pseudonimização previstos na LGPD.

Fase 1

12

Regulamentação do disposto no art. 62 da LGPD

O art. 62 da LGPD determina a edição de regulamento específico pela ANPD para acesso a dados tratados pela União para o cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004.

Fase 1

13

Compartilhamento de dados pelo Poder Público

O capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A lei determina que a ANPD disponha sobre as formas de publicidade das operações de tratamento, bem como que contratos e convênios estabelecidos entre o Poder Público e entidades privadas que tenham acesso a dados pessoais constantes de bases de dados deverão ser comunicadas à ANPD. Estudo objetiva a operacionalização dos art. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei.

Fase 2

14

Tratamento de dados pessoais de crianças e adolescentes

A ANPD elaborou Estudo Preliminar sobre o tema, o qual teve por objetivo analisar as possíveis hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. No entanto, o estudo não teve pretensão de ser exaustivo, em razão de limitações de escopo e de tempo, que buscou promover a discussão pública e coletar contribuições da sociedade, a fim de, em um momento posterior, estabelecer interpretações e orientações mais conclusivas. Cumpre enfatizar que não foram consideradas as possíveis técnicas para aferição do consentimento ou para a aferição de idade de usuários de aplicações de internet. Além disso, observa-se necessidade de analisar os impactos de plataformas e jogos digitais na Internet na proteção de dados de crianças e de adolescentes. Embora relevantes para o tratamento de dados pessoais de crianças e adolescentes, a discussão sobre esses temas correlatos demanda uma abordagem mais ampla, levando em consideração outros contextos e aspectos técnicos e jurídicos.

Fase 2

15

Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade

Em atenção a determinação legal disposta no art. 55-J, III, da LGPD, para elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a iniciativa faz-se necessária para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar as demais políticas públicas publicadas, como por exemplo, Estratégia Digital, Plano Nacional de IoT, dentre outros.

Fase 2

16

Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança

O art. 50 da LGPD dispõe que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. A LGPD determina que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela Autoridade Nacional.

Fase 2

17

Dados Pessoais Sensíveis - Dados biométricos

A coleta da biometria é de fundamental importância para se evitar fraudes e uma salvaguarda relevante para a segurança do titular. A despeito da importância do assunto, a LGPD não supriu integralmente a necessidade de disciplina do tema. Neste sentido, torna-se necessária a intervenção da ANPD, seja mediante regulamentação ou documentos de caráter orientativo sobre os contextos nos quais a coleta de dados sensíveis seria legítima.

Fase 3

18

Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança)

Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei.

Fase 3

19

Inteligência artificial

Para além da determinação legal de regulamentar o disposto na LGPD, em especial o disposto no art. 20 da Lei, que trata do direito do titular de solicitar revisão de decisões automatizadas, a ANPD pode endereçar melhor o tema por meio de documentos orientativos, como guias e estudos técnicos, uma vez que o assunto está sendo bastante utilizado pelos agentes de tratamento, frente à vulnerabilidade do titular que não possui conhecimento avançado sobre o tema. Torna-se fundamental que a ANPD estude e acompanhe o tema sob a perspectiva da proteção de dados pessoais e, em particular, da aplicação da LGPD. Tais diretrizes servirão de base para o desenvolvimento de outras regras que venham a ser necessárias para a disciplina de sistema de IA.

Fase 3

20

Termo de Ajustamento de Conduta - TAC

Em atenção ao disposto no art. 55-J, XVII da LGPD e no art. 44 da Resolução CD/ANPD Nº 1, de 28 de outubro de 2021, o Termo de Ajustamento de Conduta - TAC é instrumento que compõe o Processo de Fiscalização e o Processo Administrativo Sancionador da ANPD, possibilitando ao agente interessado a apresentação de proposta de acordo como alternativa ao regular andamento do processo sancionador.

Fase 4

Item

Iniciativa

Descrição

Priorização

1

Regulamento de Dosimetria e Aplicação de Sanções Administrativas

A LGPD determina que a ANPD definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na lei.

Fase 1

2

Direitos dos titulares de dados pessoais

A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23.

Fase 1

3

Comunicação de incidentes e especificação do prazo de notificação

De acordo com o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações.

Fase 1

4

Transferência Internacional de Dados Pessoais

O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto.

Fase 1

5

Relatório de Impacto à Proteção de Dados Pessoais

De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.

Fase 1

6

Encarregado de proteção de dados pessoais

Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Fase 1

7

Hipóteses legais de tratamento de dados pessoais

Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele.

Fase 1

8

Definição de alto risco e larga escala

Obrigação legal disposta no § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, dispôs sobre os critérios para definição do tratamento de alto risco ao titular de dados.

Fase 1

9

Dados Pessoais Sensíveis - Organizações religiosas

Documento com finalidade de disseminar as medidas básicas para adequação ao disposto na LGPD pelas organizações religiosas.

Fase 1

10

Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa

Documento com finalidade de fornecer aos agentes de tratamento recomendações e orientações que possam incentivar a adoção de boas práticas e respaldar o tratamento de dados pessoais realizado para fins acadêmicos e de estudos e pesquisas de forma compatível com a LGPD.

Fase 1

11

Anonimização e pseudonimização

Documento com objetivo de orientar e esclarecer a utilização das técnicas de anonimização e de pseudonimização previstos na LGPD.

Fase 1

12

Regulamentação do disposto no art. 62 da LGPD

O art. 62 da LGPD determina a edição de regulamento específico pela ANPD para acesso a dados tratados pela União para o cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004.

Fase 1

13

Compartilhamento de dados pelo Poder Público

O capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A lei determina que a ANPD disponha sobre as formas de publicidade das operações de tratamento, bem como que contratos e convênios estabelecidos entre o Poder Público e entidades privadas que tenham acesso a dados pessoais constantes de bases de dados deverão ser comunicadas à ANPD. Estudo objetiva a operacionalização dos art. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei.

Fase 2

14

Tratamento de dados pessoais de crianças e adolescentes

A ANPD elaborou Estudo Preliminar sobre o tema, o qual teve por objetivo analisar as possíveis hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. No entanto, o estudo não teve pretensão de ser exaustivo, em razão de limitações de escopo e de tempo, que buscou promover a discussão pública e coletar contribuições da sociedade, a fim de, em um momento posterior, estabelecer interpretações e orientações mais conclusivas. Cumpre enfatizar que não foram consideradas as possíveis técnicas para aferição do consentimento ou para a aferição de idade de usuários de aplicações de internet. Além disso, observa-se necessidade de analisar os impactos de plataformas e jogos digitais na Internet na proteção de dados de crianças e de adolescentes. Embora relevantes para o tratamento de dados pessoais de crianças e adolescentes, a discussão sobre esses temas correlatos demanda uma abordagem mais ampla, levando em consideração outros contextos e aspectos técnicos e jurídicos.

Fase 2

15

Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade

Em atenção a determinação legal disposta no art. 55-J, III, da LGPD, para elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a iniciativa faz-se necessária para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar as demais políticas públicas publicadas, como por exemplo, Estratégia Digital, Plano Nacional de IoT, dentre outros.

Fase 2

16

Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança

O art. 50 da LGPD dispõe que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. A LGPD determina que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela Autoridade Nacional.

Fase 2

17

Dados Pessoais Sensíveis - Dados biométricos

A coleta da biometria é de fundamental importância para se evitar fraudes e uma salvaguarda relevante para a segurança do titular. A despeito da importância do assunto, a LGPD não supriu integralmente a necessidade de disciplina do tema. Neste sentido, torna-se necessária a intervenção da ANPD, seja mediante regulamentação ou documentos de caráter orientativo sobre os contextos nos quais a coleta de dados sensíveis seria legítima.

Fase 3

18

Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança)

Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei.

Fase 3

19

Inteligência artificial

Para além da determinação legal de regulamentar o disposto na LGPD, em especial o disposto no art. 20 da Lei, que trata do direito do titular de solicitar revisão de decisões automatizadas, a ANPD pode endereçar melhor o tema por meio de documentos orientativos, como guias e estudos técnicos, uma vez que o assunto está sendo bastante utilizado pelos agentes de tratamento, frente à vulnerabilidade do titular que não possui conhecimento avançado sobre o tema. Torna-se fundamental que a ANPD estude e acompanhe o tema sob a perspectiva da proteção de dados pessoais e, em particular, da aplicação da LGPD. Tais diretrizes servirão de base para o desenvolvimento de outras regras que venham a ser necessárias para a disciplina de sistema de IA.

Fase 3

20

Termo de Ajustamento de Conduta - TAC

Em atenção ao disposto no art. 55-J, XVII da LGPD e no art. 44 da Resolução CD/ANPD Nº 1, de 28 de outubro de 2021, o Termo de Ajustamento de Conduta - TAC é instrumento que compõe o Processo de Fiscalização e o Processo Administrativo Sancionador da ANPD, possibilitando ao agente interessado a apresentação de proposta de acordo como alternativa ao regular andamento do processo sancionador.

Fase 4

Item

Iniciativa

Descrição

Priorização

Item

Item

Iniciativa

Iniciativa

Descrição

Descrição

Priorização

Priorização

1

Regulamento de Dosimetria e Aplicação de Sanções Administrativas

A LGPD determina que a ANPD definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na lei.

Fase 1

1

1

Regulamento de Dosimetria e Aplicação de Sanções Administrativas

Regulamento de Dosimetria e Aplicação de Sanções Administrativas

A LGPD determina que a ANPD definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na lei.

A LGPD determina que a ANPD definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na lei.

Fase 1

Fase 1

2

Direitos dos titulares de dados pessoais

A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23.

Fase 1

2

2

Direitos dos titulares de dados pessoais

Direitos dos titulares de dados pessoais

A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23.

A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, que tratará desses direitos, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23.

Fase 1

Fase 1

3

Comunicação de incidentes e especificação do prazo de notificação

De acordo com o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações.

Fase 1

3

3

Comunicação de incidentes e especificação do prazo de notificação

Comunicação de incidentes e especificação do prazo de notificação

De acordo com o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações.

De acordo com o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Muito embora a lei estabeleça critérios mínimos, é preciso que a ANPD regulamente alguns itens, como prazo, e defina o formulário e a melhor forma de encaminhamento das informações.

Fase 1

Fase 1

4

Transferência Internacional de Dados Pessoais

O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto.

Fase 1

4

4

Transferência Internacional de Dados Pessoais

Transferência Internacional de Dados Pessoais

O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto.

O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais somente é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. Por sua vez, o art. 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. O art. 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela ANPD. Assim, é necessário regulamentar os arts. 33, 34 e 35 da LGPD, sem prejuízo dos demais temas tratados pelos artigos não mencionados neste texto.

Fase 1

Fase 1

5

Relatório de Impacto à Proteção de Dados Pessoais

De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.

Fase 1

5

5

Relatório de Impacto à Proteção de Dados Pessoais

Relatório de Impacto à Proteção de Dados Pessoais

De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.

De acordo com as competências estabelecidas pelo art. 55-J, inciso XIII, cabe a ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.

Fase 1

Fase 1

6

Encarregado de proteção de dados pessoais

Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Fase 1

6

6

Encarregado de proteção de dados pessoais

Encarregado de proteção de dados pessoais

Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Fase 1

Fase 1

7

Hipóteses legais de tratamento de dados pessoais

Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele.

Fase 1

7

7

Hipóteses legais de tratamento de dados pessoais

Hipóteses legais de tratamento de dados pessoais

Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele.

Documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no art. 7º mas não restritas a ele.

Fase 1

Fase 1

8

Definição de alto risco e larga escala

Obrigação legal disposta no § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, dispôs sobre os critérios para definição do tratamento de alto risco ao titular de dados.

Fase 1

8

8

Definição de alto risco e larga escala

Definição de alto risco e larga escala

Obrigação legal disposta no § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, dispôs sobre os critérios para definição do tratamento de alto risco ao titular de dados.

Obrigação legal disposta no § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, dispôs sobre os critérios para definição do tratamento de alto risco ao titular de dados.

Fase 1

Fase 1

9

Dados Pessoais Sensíveis - Organizações religiosas

Documento com finalidade de disseminar as medidas básicas para adequação ao disposto na LGPD pelas organizações religiosas.

Fase 1

9

9

Dados Pessoais Sensíveis - Organizações religiosas

Dados Pessoais Sensíveis - Organizações religiosas

Documento com finalidade de disseminar as medidas básicas para adequação ao disposto na LGPD pelas organizações religiosas.

Documento com finalidade de disseminar as medidas básicas para adequação ao disposto na LGPD pelas organizações religiosas.

Fase 1

Fase 1

10

Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa

Documento com finalidade de fornecer aos agentes de tratamento recomendações e orientações que possam incentivar a adoção de boas práticas e respaldar o tratamento de dados pessoais realizado para fins acadêmicos e de estudos e pesquisas de forma compatível com a LGPD.

Fase 1

10

10

Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa

Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa

Documento com finalidade de fornecer aos agentes de tratamento recomendações e orientações que possam incentivar a adoção de boas práticas e respaldar o tratamento de dados pessoais realizado para fins acadêmicos e de estudos e pesquisas de forma compatível com a LGPD.

Documento com finalidade de fornecer aos agentes de tratamento recomendações e orientações que possam incentivar a adoção de boas práticas e respaldar o tratamento de dados pessoais realizado para fins acadêmicos e de estudos e pesquisas de forma compatível com a LGPD.

Fase 1

Fase 1

11

Anonimização e pseudonimização

Documento com objetivo de orientar e esclarecer a utilização das técnicas de anonimização e de pseudonimização previstos na LGPD.

Fase 1

11

11

Anonimização e pseudonimização

Anonimização e pseudonimização

Documento com objetivo de orientar e esclarecer a utilização das técnicas de anonimização e de pseudonimização previstos na LGPD.

Documento com objetivo de orientar e esclarecer a utilização das técnicas de anonimização e de pseudonimização previstos na LGPD.

Fase 1

Fase 1

12

Regulamentação do disposto no art. 62 da LGPD

O art. 62 da LGPD determina a edição de regulamento específico pela ANPD para acesso a dados tratados pela União para o cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004.

Fase 1

12

12

Regulamentação do disposto no art. 62 da LGPD

Regulamentação do disposto no art. 62 da LGPD

O art. 62 da LGPD determina a edição de regulamento específico pela ANPD para acesso a dados tratados pela União para o cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004.

O art. 62 da LGPD determina a edição de regulamento específico pela ANPD para acesso a dados tratados pela União para o cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004.

Fase 1

Fase 1

13

Compartilhamento de dados pelo Poder Público

O capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A lei determina que a ANPD disponha sobre as formas de publicidade das operações de tratamento, bem como que contratos e convênios estabelecidos entre o Poder Público e entidades privadas que tenham acesso a dados pessoais constantes de bases de dados deverão ser comunicadas à ANPD. Estudo objetiva a operacionalização dos art. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei.

Fase 2

13

13

Compartilhamento de dados pelo Poder Público

Compartilhamento de dados pelo Poder Público

O capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A lei determina que a ANPD disponha sobre as formas de publicidade das operações de tratamento, bem como que contratos e convênios estabelecidos entre o Poder Público e entidades privadas que tenham acesso a dados pessoais constantes de bases de dados deverão ser comunicadas à ANPD. Estudo objetiva a operacionalização dos art. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei.

O capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A lei determina que a ANPD disponha sobre as formas de publicidade das operações de tratamento, bem como que contratos e convênios estabelecidos entre o Poder Público e entidades privadas que tenham acesso a dados pessoais constantes de bases de dados deverão ser comunicadas à ANPD. Estudo objetiva a operacionalização dos art. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei.

Fase 2

Fase 2

14

Tratamento de dados pessoais de crianças e adolescentes

A ANPD elaborou Estudo Preliminar sobre o tema, o qual teve por objetivo analisar as possíveis hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. No entanto, o estudo não teve pretensão de ser exaustivo, em razão de limitações de escopo e de tempo, que buscou promover a discussão pública e coletar contribuições da sociedade, a fim de, em um momento posterior, estabelecer interpretações e orientações mais conclusivas. Cumpre enfatizar que não foram consideradas as possíveis técnicas para aferição do consentimento ou para a aferição de idade de usuários de aplicações de internet. Além disso, observa-se necessidade de analisar os impactos de plataformas e jogos digitais na Internet na proteção de dados de crianças e de adolescentes. Embora relevantes para o tratamento de dados pessoais de crianças e adolescentes, a discussão sobre esses temas correlatos demanda uma abordagem mais ampla, levando em consideração outros contextos e aspectos técnicos e jurídicos.

Fase 2

14

14

Tratamento de dados pessoais de crianças e adolescentes

Tratamento de dados pessoais de crianças e adolescentes

A ANPD elaborou Estudo Preliminar sobre o tema, o qual teve por objetivo analisar as possíveis hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. No entanto, o estudo não teve pretensão de ser exaustivo, em razão de limitações de escopo e de tempo, que buscou promover a discussão pública e coletar contribuições da sociedade, a fim de, em um momento posterior, estabelecer interpretações e orientações mais conclusivas. Cumpre enfatizar que não foram consideradas as possíveis técnicas para aferição do consentimento ou para a aferição de idade de usuários de aplicações de internet. Além disso, observa-se necessidade de analisar os impactos de plataformas e jogos digitais na Internet na proteção de dados de crianças e de adolescentes. Embora relevantes para o tratamento de dados pessoais de crianças e adolescentes, a discussão sobre esses temas correlatos demanda uma abordagem mais ampla, levando em consideração outros contextos e aspectos técnicos e jurídicos.

A ANPD elaborou Estudo Preliminar sobre o tema, o qual teve por objetivo analisar as possíveis hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. No entanto, o estudo não teve pretensão de ser exaustivo, em razão de limitações de escopo e de tempo, que buscou promover a discussão pública e coletar contribuições da sociedade, a fim de, em um momento posterior, estabelecer interpretações e orientações mais conclusivas. Cumpre enfatizar que não foram consideradas as possíveis técnicas para aferição do consentimento ou para a aferição de idade de usuários de aplicações de internet. Além disso, observa-se necessidade de analisar os impactos de plataformas e jogos digitais na Internet na proteção de dados de crianças e de adolescentes. Embora relevantes para o tratamento de dados pessoais de crianças e adolescentes, a discussão sobre esses temas correlatos demanda uma abordagem mais ampla, levando em consideração outros contextos e aspectos técnicos e jurídicos.

Fase 2

Fase 2

15

Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade

Em atenção a determinação legal disposta no art. 55-J, III, da LGPD, para elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a iniciativa faz-se necessária para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar as demais políticas públicas publicadas, como por exemplo, Estratégia Digital, Plano Nacional de IoT, dentre outros.

Fase 2

15

15

Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade

Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade

Em atenção a determinação legal disposta no art. 55-J, III, da LGPD, para elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a iniciativa faz-se necessária para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar as demais políticas públicas publicadas, como por exemplo, Estratégia Digital, Plano Nacional de IoT, dentre outros.

Em atenção a determinação legal disposta no art. 55-J, III, da LGPD, para elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, a iniciativa faz-se necessária para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar as demais políticas públicas publicadas, como por exemplo, Estratégia Digital, Plano Nacional de IoT, dentre outros.

Fase 2

Fase 2

16

Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança

O art. 50 da LGPD dispõe que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. A LGPD determina que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela Autoridade Nacional.

Fase 2

16

16

Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança

Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança

O art. 50 da LGPD dispõe que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. A LGPD determina que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela Autoridade Nacional.

O art. 50 da LGPD dispõe que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador deverão considerar, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. A LGPD determina que as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela Autoridade Nacional.

Fase 2

Fase 2

17

Dados Pessoais Sensíveis - Dados biométricos

A coleta da biometria é de fundamental importância para se evitar fraudes e uma salvaguarda relevante para a segurança do titular. A despeito da importância do assunto, a LGPD não supriu integralmente a necessidade de disciplina do tema. Neste sentido, torna-se necessária a intervenção da ANPD, seja mediante regulamentação ou documentos de caráter orientativo sobre os contextos nos quais a coleta de dados sensíveis seria legítima.

Fase 3

17

17

Dados Pessoais Sensíveis - Dados biométricos

Dados Pessoais Sensíveis - Dados biométricos

A coleta da biometria é de fundamental importância para se evitar fraudes e uma salvaguarda relevante para a segurança do titular. A despeito da importância do assunto, a LGPD não supriu integralmente a necessidade de disciplina do tema. Neste sentido, torna-se necessária a intervenção da ANPD, seja mediante regulamentação ou documentos de caráter orientativo sobre os contextos nos quais a coleta de dados sensíveis seria legítima.

A coleta da biometria é de fundamental importância para se evitar fraudes e uma salvaguarda relevante para a segurança do titular. A despeito da importância do assunto, a LGPD não supriu integralmente a necessidade de disciplina do tema. Neste sentido, torna-se necessária a intervenção da ANPD, seja mediante regulamentação ou documentos de caráter orientativo sobre os contextos nos quais a coleta de dados sensíveis seria legítima.

Fase 3

Fase 3

18

Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança)

Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei.

Fase 3

18

18

Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança)

Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança)

Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei.

Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1º do referido artigo estabelece que a ANPD poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos na lei.

Fase 3

Fase 3

19

Inteligência artificial

Para além da determinação legal de regulamentar o disposto na LGPD, em especial o disposto no art. 20 da Lei, que trata do direito do titular de solicitar revisão de decisões automatizadas, a ANPD pode endereçar melhor o tema por meio de documentos orientativos, como guias e estudos técnicos, uma vez que o assunto está sendo bastante utilizado pelos agentes de tratamento, frente à vulnerabilidade do titular que não possui conhecimento avançado sobre o tema. Torna-se fundamental que a ANPD estude e acompanhe o tema sob a perspectiva da proteção de dados pessoais e, em particular, da aplicação da LGPD. Tais diretrizes servirão de base para o desenvolvimento de outras regras que venham a ser necessárias para a disciplina de sistema de IA.

Fase 3

19

19

Inteligência artificial

Inteligência artificial

Para além da determinação legal de regulamentar o disposto na LGPD, em especial o disposto no art. 20 da Lei, que trata do direito do titular de solicitar revisão de decisões automatizadas, a ANPD pode endereçar melhor o tema por meio de documentos orientativos, como guias e estudos técnicos, uma vez que o assunto está sendo bastante utilizado pelos agentes de tratamento, frente à vulnerabilidade do titular que não possui conhecimento avançado sobre o tema. Torna-se fundamental que a ANPD estude e acompanhe o tema sob a perspectiva da proteção de dados pessoais e, em particular, da aplicação da LGPD. Tais diretrizes servirão de base para o desenvolvimento de outras regras que venham a ser necessárias para a disciplina de sistema de IA.

Para além da determinação legal de regulamentar o disposto na LGPD, em especial o disposto no art. 20 da Lei, que trata do direito do titular de solicitar revisão de decisões automatizadas, a ANPD pode endereçar melhor o tema por meio de documentos orientativos, como guias e estudos técnicos, uma vez que o assunto está sendo bastante utilizado pelos agentes de tratamento, frente à vulnerabilidade do titular que não possui conhecimento avançado sobre o tema. Torna-se fundamental que a ANPD estude e acompanhe o tema sob a perspectiva da proteção de dados pessoais e, em particular, da aplicação da LGPD. Tais diretrizes servirão de base para o desenvolvimento de outras regras que venham a ser necessárias para a disciplina de sistema de IA.

Fase 3

Fase 3

20

Termo de Ajustamento de Conduta - TAC

Em atenção ao disposto no art. 55-J, XVII da LGPD e no art. 44 da Resolução CD/ANPD Nº 1, de 28 de outubro de 2021, o Termo de Ajustamento de Conduta - TAC é instrumento que compõe o Processo de Fiscalização e o Processo Administrativo Sancionador da ANPD, possibilitando ao agente interessado a apresentação de proposta de acordo como alternativa ao regular andamento do processo sancionador.

Fase 4

20

20

Termo de Ajustamento de Conduta - TAC

Termo de Ajustamento de Conduta - TAC

Em atenção ao disposto no art. 55-J, XVII da LGPD e no art. 44 da Resolução CD/ANPD Nº 1, de 28 de outubro de 2021, o Termo de Ajustamento de Conduta - TAC é instrumento que compõe o Processo de Fiscalização e o Processo Administrativo Sancionador da ANPD, possibilitando ao agente interessado a apresentação de proposta de acordo como alternativa ao regular andamento do processo sancionador.

Em atenção ao disposto no art. 55-J, XVII da LGPD e no art. 44 da Resolução CD/ANPD Nº 1, de 28 de outubro de 2021, o Termo de Ajustamento de Conduta - TAC é instrumento que compõe o Processo de Fiscalização e o Processo Administrativo Sancionador da ANPD, possibilitando ao agente interessado a apresentação de proposta de acordo como alternativa ao regular andamento do processo sancionador.

Fase 4

Fase 4

Perguntas e respostas

Qual é o objetivo do documento sobre anonimização e pseudonimização?
O documento tem o objetivo de orientar e esclarecer a utilização das técnicas de anonimização e de pseudonimização previstos na LGPD.
Qual é a prioridade das iniciativas da Fase 1 na Agenda Regulatória da ANPD?
As iniciativas da Fase 1, cujo processo regulatório foi iniciado durante a vigência da Agenda Regulatória para o biênio 2021-2022, terão prevalência sobre os demais itens constantes da Agenda Regulatória.
O que dispõe o art. 50 da LGPD sobre regras de boas práticas e de governança?
O art. 50 da LGPD dispõe que os controladores e operadores podem formular regras de boas práticas e de governança que estabeleçam condições de organização, regime de funcionamento, procedimentos, normas de segurança, padrões técnicos, obrigações específicas, ações educativas, mecanismos internos de supervisão e mitigação de riscos, entre outros aspectos relacionados ao tratamento de dados pessoais. Essas regras devem ser publicadas e atualizadas periodicamente e podem ser reconhecidas e divulgadas pela ANPD.
O que a LGPD estabelece sobre a comunicação de incidentes de segurança?
De acordo com o art. 48 da LGPD, o controlador deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A ANPD precisa regulamentar itens como prazo, formulário e a melhor forma de encaminhamento das informações.
O que determina a LGPD sobre a dosimetria e aplicação de sanções administrativas?
A LGPD determina que a ANPD definirá, por meio de regulamento próprio, as metodologias que orientarão o cálculo do valor-base das sanções de multa, apresentando objetivamente as formas e dosimetrias para o cálculo, com fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na lei.
O que a ANPD deve considerar como prioritário ao planejar e executar ações educativas?
A ANPD deverá considerar como prioritários os temas constantes da Agenda Regulatória para o biênio 2023-2024 ao planejar e executar ações educativas.
Qual é a importância da regulamentação de inteligência artificial pela ANPD?
Para além da determinação legal de regulamentar o disposto na LGPD, especialmente o art. 20, que trata do direito do titular de solicitar revisão de decisões automatizadas, a ANPD pode abordar melhor o tema por meio de documentos orientativos, como guias e estudos técnicos. É fundamental que a ANPD estude e acompanhe o tema sob a perspectiva da proteção de dados pessoais e da aplicação da LGPD, fornecendo diretrizes que servirão de base para o desenvolvimento de outras regras necessárias para a disciplina de sistemas de IA.
Quais são as fases de priorização das iniciativas na Agenda Regulatória 2023-2024 da ANPD?
As iniciativas são classificadas em quatro fases:Fase 1: Itens cujo processo regulatório foi iniciado durante a vigência da Agenda Regulatória para o biênio 2021-2022.Fase 2: Itens cujo início do processo regulatório acontecerá em até 1 ano.Fase 3: Itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses.Fase 4: Itens cujo início do processo regulatório acontecerá em até 2 anos.
O que são as Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade?
Em atenção à determinação legal disposta no art. 55-J, III, da LGPD, a elaboração de Diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade é necessária para direcionar a atuação de todos os atores envolvidos no ecossistema de proteção de dados, inclusive a ANPD. A Política deve considerar outras políticas públicas publicadas, como a Estratégia Digital e o Plano Nacional de IoT.
O que a LGPD dispõe sobre o compartilhamento de dados pelo Poder Público?
O capítulo IV da LGPD dispõe sobre o tratamento de dados pessoais pelo Poder Público. A lei determina que a ANPD disponha sobre as formas de publicidade das operações de tratamento, bem como que contratos e convênios estabelecidos entre o Poder Público e entidades privadas que tenham acesso a dados pessoais constantes de bases de dados deverão ser comunicadas à ANPD. Estudo objetiva a operacionalização dos art. 26 e 27 da LGPD, que tratam do compartilhamento de dados do Poder Público com pessoa de direito privado, especialmente quanto aos procedimentos a serem adotados e às informações que devem ser encaminhadas à ANPD para cumprimento do disposto na Lei.
Por que é importante regulamentar o tratamento de dados biométricos?
A coleta da biometria é fundamental para evitar fraudes e garantir a segurança do titular. A LGPD não supriu integralmente a necessidade de disciplina do tema, tornando necessária a intervenção da ANPD, seja por meio de regulamentação ou documentos orientativos sobre os contextos nos quais a coleta de dados sensíveis seria legítima.
O que são hipóteses legais de tratamento de dados pessoais segundo a LGPD?
As hipóteses legais de tratamento de dados pessoais são bases legais que justificam o tratamento de dados pessoais. A ANPD deve orientar o público sobre essas bases e hipóteses legais, incluindo as descritas no art. 7º da LGPD, mas não restritas a ele.
Qual é a competência da ANPD em relação aos relatórios de impacto à proteção de dados pessoais?
De acordo com o art. 55-J, inciso XIII da LGPD, cabe à ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.
Quais são as medidas de segurança que os agentes de tratamento devem adotar segundo a LGPD?
Nos termos do art. 46 da LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. A ANPD pode dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no citado dispositivo, considerando a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia.
Quais são as considerações da ANPD sobre o tratamento de dados pessoais de crianças e adolescentes?
A ANPD elaborou um Estudo Preliminar sobre o tema, analisando possíveis hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. O estudo buscou promover a discussão pública e coletar contribuições da sociedade para estabelecer interpretações e orientações mais conclusivas em um momento posterior. Não foram consideradas técnicas para aferição do consentimento ou idade de usuários de aplicações de internet, e há necessidade de analisar os impactos de plataformas e jogos digitais na proteção de dados de crianças e adolescentes.
O que é o Termo de Ajustamento de Conduta (TAC) no contexto da LGPD?
Em atenção ao disposto no art. 55-J, XVII da LGPD e no art. 44 da Resolução CD/ANPD Nº 1, de 28 de outubro de 2021, o Termo de Ajustamento de Conduta (TAC) é um instrumento que compõe o Processo de Fiscalização e o Processo Administrativo Sancionador da ANPD, possibilitando ao agente interessado a apresentação de proposta de acordo como alternativa ao regular andamento do processo sancionador.
O que é a definição de alto risco e larga escala no contexto da LGPD?
O § 3º do art. 4º do Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2014, Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, dispõe sobre os critérios para definição do tratamento de alto risco ao titular de dados.
O que é a Agenda Regulatória da ANPD?
A Agenda Regulatória é um instrumento de planejamento que agrega as ações regulatórias consideradas prioritárias e que serão objeto de estudo ou tratamento pela Autoridade Nacional de Proteção de Dados (ANPD) durante sua vigência.
Qual é a finalidade do documento sobre o uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa?
O documento visa fornecer aos agentes de tratamento recomendações e orientações que possam incentivar a adoção de boas práticas e respaldar o tratamento de dados pessoais realizado para fins acadêmicos e de estudos e pesquisas de forma compatível com a LGPD.
Qual é a finalidade do documento sobre dados pessoais sensíveis para organizações religiosas?
O documento tem a finalidade de disseminar as medidas básicas para adequação ao disposto na LGPD pelas organizações religiosas.
O que determina o art. 62 da LGPD?
O art. 62 da LGPD determina a edição de regulamento específico pela ANPD para acesso a dados tratados pela União para o cumprimento do disposto no § 2º do art. 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004.
O que a LGPD prevê sobre a transferência internacional de dados pessoais?
O art. 33, inciso I da LGPD, prevê que a transferência internacional de dados pessoais é permitida apenas para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado. O art. 34 permite que a ANPD avalie o nível de proteção de dados do país estrangeiro ou do organismo internacional, e o art. 35 determina que a ANPD defina o conteúdo de cláusulas-padrão contratuais, entre outros.
O que a LGPD estabelece sobre o encarregado de proteção de dados pessoais?
Nos termos do art. 41, § 3º da LGPD, a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Quais direitos dos titulares de dados pessoais precisam de regulamentação pela ANPD?
A LGPD estabelece os direitos dos titulares de dados pessoais, mas diversos pontos merecem regulamentação, incluindo, mas não limitado aos artigos 9º, 18, 20 e 23.

Temas

Itens vinculados

Nenhum item vinculado a este artefato.